सवाल ओपनएसएसएल और अपाचे के साथ टीएलएस 1.1 और 1.2 को कैसे सक्षम करें


सुरक्षा मुद्दों की बढ़ती संख्या के प्रकाश में, जैसे कि एसएसएल / टीएलएस (बीईएएसटी) के खिलाफ नए घोषित ब्राउज़र एक्सप्लॉइट, मैं उत्सुक था कि हम ओपनएसएसएल और अपाचे के साथ टीएलएस 1.1 और 1.2 को सक्षम करने के बारे में कैसे जा सकते हैं ताकि यह सुनिश्चित किया जा सके कि हम कमजोर नहीं होंगे ऐसे खतरे के वैक्टरों के लिए।


29
2017-09-23 14:46


मूल




जवाब:


टीएलएस 1.2 अब अपाचे के लिए उपलब्ध है, TLSs1.2 जोड़ने के लिए आपको बस अपने https वर्चुअल होस्ट कॉन्फ़िगरेशन में जोड़ने की आवश्यकता है:

SSLProtocol -all +TLSv1.2

-all अन्य एसएसएल प्रोटोकॉल को हटा रहा है (एसएसएल 1,2,3 टीएलएस 1)

+TLSv1.2 टीएलएस 1.2 जोड़ रहा है

अधिक ब्राउज़र संगतता के लिए आप उपयोग कर सकते हैं

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

जिस तरह से आप सिफर सुइट का उपयोग कर भी बढ़ा सकते हैं:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$

आप ऑनलाइन https स्कैनर के साथ अपनी https वेबसाइट सुरक्षा का परीक्षण कर सकते हैं जैसे: https://www.ssllabs.com/ssltest/index.html


22
2017-10-04 12:34



मुझे यकीन नहीं है कि यह पोस्ट "पुरानी" के रूप में क्यों चिह्नित है। मैंने अनुशंसित समाधान का उपयोग किया, और मेरे ग्राहक की साइट क्वालिसी एसएसएल लैब्स पर "ए" पर "सी" रेटिंग से चली गई। - Michael Sobczak
हाय, मैंने गलतफहमी को रोकने के लिए पुरानी चेतावनी को हटा दिया, यह पुराने सही उत्तर से जुड़ा हुआ था। मुझे खुशी है कि आपकी सुरक्षा में वृद्धि हुई है;) - Froggiz
साइट्स-उपलब्ध / 000-default.conf में मैंने वर्चुअल होस्ट 'SSLProtocol -all + TLSv1.2' में जोड़ा और प्राप्त किया: AH00526: /etc/apache2/sites-enabled/000-default.conf की लाइन 31 पर सिंटेक्स त्रुटि : अमान्य कमांड 'एसएसएलप्रोटोकॉल', शायद मॉड्यूल द्वारा गलत वर्तनी या परिभाषित नहीं है सर्वर कॉन्फ़िगरेशन में लुप्तप्राय नहीं है क्रिया 'configtest' विफल। - Elia Weiss
क्या आपने mod_ssl को सक्षम किया था? (कमांड: a2enmod एसएसएल) - Froggiz
"एसएसएलप्रोटोकॉल: अवैध प्रोटोकॉल 'टीएलएसवी 1.2'" (ओएस एक्स 10.10.5) - Michael


TLSv1.1 और TLSv1.2 को सक्षम करने के लिए OpenSSL के नवीनतम संस्करण के साथ अपाचे संकलित करें

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

SSLProtocol +TLSv1.1 +TLSv1.2

10
2018-04-19 12:50





के अनुसार ओपनएसएसएल चेंजलॉग, टीएलएस 1.2 के लिए समर्थन ओपनएसएसएल 1.0.1 की विकास शाखा में जोड़ा गया था, लेकिन यह संस्करण अभी तक जारी नहीं किया गया है। शायद apache के लिए टीएलएस 1.2 को सक्षम करने के लिए mod_ssl कोड में कुछ बदलावों की भी आवश्यकता होगी।

एक अन्य सामान्य रूप से इस्तेमाल एसएसएल / टीएलएस पुस्तकालय है एनएसएस; इसका उपयोग कम ज्ञात अपाचे मॉड्यूल द्वारा किया जाता है mod_nss; दुर्भाग्यवश, वर्तमान एनएसएस रिलीज भी टीएलएस 1.2 का समर्थन नहीं करते हैं।

फिर भी एक और एसएसएल / टीएलएस पुस्तकालय है GNUTLS, और यह पहले से ही अपनी वर्तमान रिलीज में टीएलएस 1.2 का समर्थन करने का नाटक करता है। जीएनयूटीएलएस का उपयोग करके एक अपाचे मॉड्यूल है: mod_gnutls, जो टीएलएस 1.2 का समर्थन करने का भी दावा करता है। हालांकि, यह मॉड्यूल अपेक्षाकृत नया प्रतीत होता है, और यह बहुत स्थिर नहीं हो सकता है; मैंने कभी इसका इस्तेमाल करने की कोशिश नहीं की।


9
2017-09-23 15:07



@ सर्गेई, लिंक और जानकारी के लिए धन्यवाद। मुझे अभी भी दुख हुआ है कि हम उनकी उम्र पर विचार करने के लिए इन मानकों का उपयोग करने में सक्षम नहीं हैं। मुझे यह अजीब लगता है कि हमें अपने सिस्टम और हमारे नेटवर्क के रक्षकों की आवश्यकता है, फिर भी हम उन उपकरणों का उपयोग नहीं कर सकते हैं जो हमारी सुरक्षा मुद्रा में सुधार करने में मदद करेंगे। साथ ही, ऐसा लगता है कि वेब ब्राउजर लोगों के पास अपाचे और संभवतः आईआईएस जैसे सर्वर लोगों के अलावा इन मानकों के लिए समर्थन सक्षम करने में मदद करने के लिए एक तरीका है। - John
क्या यह उत्तर अभी भी एक साल बाद सटीक है? - Ben Walther
@ बेनवाल्टर ओपनएसएसएल 1.0.1 मार्च 2012 में टीएलएस 1.2 समर्थन के साथ जारी किया गया था। अब तक का नवीनतम संस्करण 1.0.1 सी है। मुझे यकीन नहीं है कि बाकी पोस्ट कितनी वैध है। - Burhan Ali


आप नहीं कर सकते, ओपनएसएसएल अभी तक टीएलएस 1.1 के लिए रिलीज की पेशकश नहीं करता है।

/ पर एक प्रासंगिक टिप्पणी /। इस मुद्दे के लिए:

क्या आप कृपया अवांछित लोगों को समझाएंगे कि आप कैसे कार्यान्वित करेंगे   टीएलएस 1.1 और 1.2 दुनिया में समर्थन जहां प्रमुख पुस्तकालय ओपनएसएसएल   अभी तक अपने स्थिर रिलीज में प्रोटोकॉल का समर्थन नहीं करता है?   निश्चित रूप से, आप जीएनयूटीएलएस और mod_gnutls का उपयोग कर सकते हैं, और मैंने कोशिश की है, लेकिन   कोई मुद्दा नहीं था, क्योंकि ओपेरा के अलावा कोई ब्राउज़र इसका समर्थन नहीं करता था और   मॉड्यूल में कुछ अजीब glitches थे। आईई 8/9 माना जाता था   Vista और 7 के तहत उनका समर्थन करें, लेकिन सेवा की गई साइट तक पहुंचने में विफल रहे   mod_gnutls द्वारा जब 1.1 और 1.2 क्लाइंट पक्ष पर सक्षम थे। मैं   कल जिज्ञासा से बाहर, और अब ओपेरा भी इसे आजमाया   टीएलएस 1.1 और 1.2 पर 11.51 चोक। इसलिए वहाँ। कुछ भी वास्तव में समर्थन करता है   प्रोटोकॉल। टीएलएस 1.1 के लिए ओपनएसएसएल 1.0.1 के लिए इंतजार करना होगा और कोई भी नहीं जानता है   जब वह repos मारा जाएगा।

http://it.slashdot.org/comments.pl?sid=2439924&cid=37477890


5
2017-09-23 15:02



@ स्टीव-ओ, जानकारी के लिए धन्यवाद। यह निराशाजनक है कि टीएलएस 1.1 अप्रैल 2006 से बाहर हो गया है और टीएलएस 1.2 मार्च 2008 से मार्च 2011 में अपडेट के साथ बाहर रहा है और हमारे पास अभी भी उनका उपयोग करने की क्षमता नहीं है। - John


एक Google क्रोम इंजीनियर एडम लैंगली बताते हैं कि एसएसएलवी 3 के साथ कार्यान्वयन के मुद्दे के कारण टीएलएस 1.1 ने इस समस्या को हल नहीं किया होगा कि सभी को काम करना है: ब्राउज़र को बग्गी सर्वर का समर्थन करने के लिए एसएसएलवी 3 में डाउनग्रेड करना होगा, और हमलावर इसे शुरू कर सकता है डाउनग्रेड करें।

http://www.imperialviolet.org/2011/09/23/chromeandbeast.html


3
2017-09-25 00:22





Gnu_tls एक आकर्षण की तरह काम करता है और यह एसएनआई (सर्वर नाम पहचान) भी लागू करता है, जो आभासी होस्टिंग में बहुत उपयोगकर्तााना है ....

Linux distros में mod_gnutls के लिए bin संकुल को खोजने में कोई समस्या नहीं है, मैं इसे 2 साल से उपयोग करता हूं और कोई समस्या नहीं है, यह openssl imho से भी अधिक प्रदर्शनकारी है।

लेकिन समस्या यह भी है कि अधिकांश ब्राउज़र टीएलएस 1.1 या 1.2 का समर्थन नहीं करते हैं, इसलिए कृपया लोगों को ब्राउज़र नियामक को अपग्रेड करने के विचार को फैलाना शुरू करें।


2
2017-09-24 19:03



@ Rastrano - क्या आपके पास इसे कार्यान्वित करने के बारे में कोई सुझाव या लिंक हैं? जानकारी के लिए धन्यवाद और यह बहुत बुरा है कि "आधुनिक" ब्राउज़र अभी तक इसका समर्थन नहीं करते हैं। - John